In der Container-Software Docker Desktop können Angreifer aus bösartigen Containern auf die Docker-Engine und in der Folge auf das Dateisystem des Host-Systems zugreifen. Aktualisierte Software steht bereit, um die Sicherheitslücke zu schließen.
In der Versionsankündigung fasst Docker knapp zusammen: Bösartige Container, die in Docker Desktop laufen, können auf die Docker-Engine zugreifen und weitere Container starten, ohne, dass der Docker-Socket gemountet sein müsste. Dies kann unautorisierten Zugriff auf Nutzerdateien im Host-System ermöglichen, Enhanced Container Isolation (ECI) richtet nichts gegen diese Schwachstelle aus (CVE-2025-9074 / EUVD-2025-25308, CVSS 9.3, Risiko "kritisch").
Die Schwachstellenmeldung selbst geht weiter ins Detail. Lokal laufende Linux-Container können die Docker-Engine-API über das konfigurierte Subnetz erreichen, standardmäßig unter 192.168.65.7:2375. Die Schwachstelle tritt unabhängig davon auf, ob Enhanced Container Isolation (ECI) aktiviert oder wie die Option "Expose daemon on tcp://localhost:2375 without TLS" konfiguriert wurde. Dadurch lassen sich eine Reihe an privilegierten Befehlen an die Docker-Engine-API ausführen, einschließlich der Kontrolle anderer Container, Erstellen neuer Container, Verwalten von Images und so weiter. Unter Umständen, etwa wenn Docker Desktop für Windows mit WSL-Backend läuft, erlaubt das auch das Mounten des Hostlaufwerks mit den Rechten des Nutzerkontos, in dem Docker Desktop läuft.
Um das zu verhindern, sollten IT-Verantwortliche auf Docker Desktop 4.44.3 oder neuer aktualisieren. Darin haben die Entwickler die sicherheitsrelevanten Fehler ausgebügelt.
Die aktualisierten Docker-Pakete stehen direkt zum Herunterladen bereit:
Ende April hatte Docker ein Update für Docker Desktop für Windows herausgegeben. Darin haben die Programmierer eine als hochriskant eingestufte Schwachstelle geschlossen, durch die Angreifer ihre Rechte ausweiten konnten.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo